Стороны, которые должны быть уведомлены о недостатках, иногда устанавливают специальные указания относительно того, какая информация должна быть предоставлена. Например, совет директоров или аудиторский комитет могут требовать от руководства или внутреннего или внешнего аудитора информирования только о недостатках, которые отвечают заданному уровню серьезности или важности.

Управление рисками организации осуществляется целым рядом сторон, каждая из которых выполняет важные обязанности. Совет директоров (непосредственно или через свои комитеты), руководство, внутренние аудиторы и прочий персонал – все вносят значительный вклад в управление рисками. Прочие стороны, такие как внешние аудиторы и регулирующие органы, иногда также ассоциируются с управлением рисками и внутренним контролем. В то же время существует различие между лицами, являющимися частью процесса управления рисками организации, и лицами, не являющимися его частью, действия которых, тем не менее, могут оказывать влияние на процесс управления рисками или иным образом содействовать организации в достижении ее целей. При этом прямое или косвенное содействие организации в достижении ее целей не делает соответствующую внешнюю сторону частью процесса управления рисками и не возлагает на нее ответственности за управление рисками организации.

Внутренние аудиторы играют одну из ведущих ролей в деле оценки эффективности управления рисками и в разработке рекомендаций по его оптимизации. Стандарты, установленные Институтом внутренних аудиторов, указывают, что в объем внутреннего аудита должен входить аудит систем управления рисками и систем контроля. Данные функции включают оценку достоверности финансовой отчетности, эффективности деятельности и соблюдения применимого законодательства и нормативных актов. При выполнении своих обязанностей внутренние аудиторы оказывают содействие руководству и совету директоров или аудиторскому комитету путем изучения, оценки, составления отчетов и предоставления рекомендаций по повышению адекватности и эффективности процесса управления рисками организации.

Стандарты Института внутренних аудиторов также определяют роль службы внутреннего аудита, четко указывая на то, что внутренние аудиторы должны быть объективны в отношении проверяемой ими деятельности. Такая объективность должна подтверждаться их положением и полномочиями в рамках организации и подбором кандидатов на должности внутренних аудиторов. Должное положение и полномочия в рамках организации подразумевают: подотчетность лицу, имеющему достаточные полномочия по обеспечению должного охвата аудитом, рассмотрения его результатов и реагирования; выбор и смещение с должности руководителя службы внутреннего аудита только по согласованию с советом директоров или аудиторским комитетом; доступ внутренних аудиторов к совету директоров или аудиторскому комитету и полномочия по отслеживанию устранения недостатков и выполнения рекомендаций.

Члены совета директоров должны по мере необходимости обсуждать с высшим руководством состояние управления рисками в организации и осуществлять соответствующий надзор. Совет директоров также должен создать условия, при которых механизмы управления рисками организации обеспечивают оценку наиболее значимых рисков в привязке к стратегии и к целям организации, включая оценку того, какие действия предпринимает руководство и каким образом оно участвует в мониторинге процесса управления рисками. Совет директоров должен стремиться к получению информации от внутренних аудиторов, внешних аудиторов и прочих сторон.